Gefälschte GitHub-Tools verbreiten PyStoreRAT über skriptbasierte Angriffsketten : Manipulierte Open-Source-Repositorys tarnen Malware als OSINT- und KI-Dienstprogramme
Eine neue Malware-Kampagne missbraucht gezielt das Vertrauen in GitHub. Über scheinbar harmlose Open-Source-Tools wird ein bislang unbekannter Remote-Access-Trojaner verteilt, der modular aufgebaut ist, Sicherheitsmechanismen umgeht und insbesondere auf Kryptowährungs-Wallets abzielt.
Cybersicherheitsforscher haben eine laufende Kampagne identifiziert, bei der präparierte Python- und JavaScript-Repositorys auf GitHub zur Verbreitung von PyStoreRAT genutzt werden. Der bislang nicht dokumentierte Remote-Access-Trojaner (RAT) basiert auf JavaScript und wird über minimalistische Loader-Stubs ausgeliefert, die sich als OSINT-Werkzeuge, DeFi-Bots, GPT-Wrapper oder sicherheitsnahe Hilfsprogramme ausgeben.
Morphisec-Forscher Yonatan Edri erläutert die Methode: „Diese Repositorys, die oft als Entwicklungs-Utilities oder OSINT-Tools thematisiert werden, enthalten nur wenige Zeilen Code, die dafür verantwortlich sind, eine Remote-HTA-Datei unbemerkt herunterzuladen und über mshta.exe auszuführen.“
Mehrstufige Infektionskette mit hoher Flexibilität
PyStoreRAT ist modular und mehrstufig aufgebaut. Das Implantat kann ausführbare Dateien, dynamische Bibliotheken, PowerShell-Skripte, Installationspakete, Python-, JavaScript- und HTML-Anwendungen nachladen und ausführen. Als Folge-Payload kommt häufig der Informationsdieb Rhadamanthys zum Einsatz.
Die initialen Loader sind bewusst schlicht gehalten. Ihr einziger Zweck besteht darin, eine Remote-HTML-Anwendung auszuführen, die anschließend die eigentliche Malware nachlädt. Diese Vorgehensweise erschwert die frühzeitige Erkennung durch klassische Endpoint-Detection-and-Response-Lösungen erheblich.
Tarnung, Manipulation und künstliche Popularität
Die Kampagne lässt sich bis in die Mitte des Monats Juni 2025 zurückverfolgen. Seit diesem Zeitpunkt veröffentlichen die Angreifer fortlaufend neue Repositorys auf GitHub und bewerben diese gezielt über Plattformen wie YouTube und X. Um Seriosität vorzutäuschen, werden Sterne- und Fork-Zahlen künstlich erhöht. Diese Manipulation soll Vertrauen erzeugen und erinnert stark an das sogenannte Stargazers Ghost Network.
Für die Veröffentlichung nutzen die Angreifer entweder frisch erstellte GitHub-Konten oder Profile, die über einen langen Zeitraum hinweg inaktiv waren. Sobald ein Projekt ausreichend Aufmerksamkeit erlangt hat und als vertrauenswürdig gilt, wird die eigentliche Schadfunktion nachträglich eingeschleust. Dies geschieht getarnt als harmloser Wartungs- oder Aktualisierungs-Commit.
Viele der angebotenen Werkzeuge erfüllen ihren angeblichen Zweck kaum oder gar nicht. Stattdessen zeigen sie lediglich einfache Menüs, Platzhalter oder minimale Funktionen an. Dieser oberflächliche Anschein von Funktionalität reicht jedoch aus, um Zweifel zu zerstreuen und Nutzer dazu zu verleiten, den schädlichen Code auszuführen.
Fokus auf Wallets und Sicherheitsumgehung
Nach erfolgreicher Infektion sammelt PyStoreRAT zunächst umfangreiche Informationen über das betroffene System. Dazu gehören Details zur Systemkonfiguration, die Prüfung, ob Administratorrechte vorhanden sind, sowie eine gezielte Suche nach Dateien bekannter Kryptowährungs-Wallets wie Ledger Live, Trezor, Exodus, Atomic, Guarda und BitBox02. Parallel dazu untersucht die Malware, welche Sicherheitslösungen installiert sind. Dabei achtet sie besonders auf Hinweise mit den Bezeichnungen Falcon oder Reason, um ihr weiteres Verhalten an die vorhandenen Schutzmechanismen anzupassen.
Um dauerhaft auf dem System aktiv zu bleiben, richtet PyStoreRAT eine geplante Aufgabe ein, die als vermeintliche Selbstaktualisierung einer NVIDIA-Anwendung getarnt ist. In der abschließenden Phase nimmt die Malware Kontakt zu einem externen Server auf. Von dort erhält sie Befehle, die anschließend auf dem kompromittierten Rechner ausgeführt werden können. Dazu zählen unter anderem verschiedene Funktionen zum Nachladen weiterer Schadsoftware, zur Ausführung von Code im Arbeitsspeicher sowie zur gezielten Manipulation des Systems. Im Einzelnen:
- Herunterladen und Ausführen ausführbarer Dateien, einschließlich Rhadamanthys
- Herunterladen und Entpacken von ZIP-Archiven
- Herunterladen einer bösartigen dynamischen Bibliothek und Ausführen dieser über rundll32.exe
- Abrufen von rohem JavaScript-Code und dessen dynamische Ausführung im Arbeitsspeicher mittels eval
- Herunterladen und Installieren von Installationspaketen
- Starten eines sekundären mshta.exe-Prozesses zum Laden zusätzlicher entfernter HTML-Anwendungs-Payloads
- Ausführen von PowerShell-Befehlen direkt im Arbeitsspeicher
- Verbreitung über Wechseldatenträger durch Ersetzen legitimer Dokumente durch bösartige Windows-Verknüpfungsdateien
- Löschen der geplanten Aufgabe zur Beseitigung forensischer Spuren
Derzeit ist nicht bekannt, wer hinter der Operation steckt. Laut Morphisec deuten jedoch russischsprachige Artefakte und charakteristische Codierungsmuster auf einen Bedrohungsakteur hin, der vermutlich aus Osteuropa stammt.
Edri fasst die technische Entwicklung prägnant zusammen: „PyStoreRAT steht für eine Verlagerung hin zu modularen, skriptbasierten Implantaten, die sich an Sicherheitskontrollen anpassen und mehrere Payload-Formate liefern können.“
Parallelen zu neuer RAT-Aktivität in China
Zeitgleich wurde ein weiterer Remote-Access-Trojaner mit dem Namen SetcodeRat öffentlich dokumentiert. Laut dem chinesischen Sicherheitsanbieter QiAnXin verbreitet sich diese Schadsoftware seit Oktober 2025 über manipulierte Werbeanzeigen. Auffällig ist die konsequente regionale Einschränkung.
Das Threat Intelligence Center erklärt: „Das bösartige Installationspaket überprüft zunächst die Region des Opfers. Befindet sich das Opfer nicht im chinesischsprachigen Raum, wird das Programm automatisch beendet.“
SetcodeRat tarnt sich als Installer bekannter Anwendungen und setzt seine Ausführung nur bei passenden Spracheinstellungen fort. Die Malware erlaubt umfangreiche Spionagefunktionen und nutzt sowohl Telegram als auch klassische Steuerungsserver zur Befehlsübermittlung.
Einordnung
Beide Kampagnen zeigen deutlich, wie stark skriptbasierte, modulare Schadsoftware an Bedeutung gewinnt. Besonders der Missbrauch etablierter Plattformen wie GitHub unterstreicht, dass technisches Vertrauen zunehmend selbst zur Angriffsfläche wird. Für Entwickler und Analysten bedeutet dies, Open-Source-Code künftig nicht nur funktional, sondern auch hinsichtlich Lieferkette und Herkunft kritisch zu prüfen.